ISTIO-SECURITY-2026-001
CVEs reportados por Envoy y correcciones de seguridad de Istio.
| Detalles de la divulgación | |
|---|---|
| CVE(s) | CVE-2026-26308 CVE-2026-26309 CVE-2026-26310 CVE-2026-26311 CVE-2026-26330 CVE-2026-31837 CVE-2026-31838 |
| Puntuación de impacto CVSS | 8.7 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:L/A:N |
| Versiones afectadas | 1.29.0 1.28.0 to 1.28.4 1.27.0 to 1.27.7 |
CVE
CVEs de Envoy
- CVE-2026-26308: (CVSS score 7.5, High): Corrección del matcher de cabeceras RBAC para validar cada valor de cabecera individualmente en lugar de concatenar múltiples valores en una sola cadena. Esto previene posibles bypasses cuando las solicitudes contienen múltiples valores para la misma cabecera.
- CVE-2026-26311: (CVSS score 5.9, Medium): Corrección de un problema donde la ejecución de la cadena de filtros podía continuar en flujos HTTP que habían sido reiniciados pero aún no destruidos, pudiendo causar condiciones de uso después de liberación.
- CVE-2026-26310: (CVSS score 5.9, Medium): Corrección de un fallo en
Utility::getAddressWithPortal llamarlo con una dirección IPv6 con ámbito (por ejemplo,fe80::1%eth0). - CVE-2026-26309: (CVSS score 5.3, Medium): Corrección de una escritura con desfase de uno en
JsonEscaper::escapeString()que podía corromper el terminador nulo de la cadena. - CVE-2026-26330: (CVSS score 5.3, Medium): Corrección de un error en el cliente de rate limiting gRPC que podía provocar posibles problemas de uso después de liberación. Solo afecta a Istio 1.28 y 1.29.
CVEs de Istio
- CVE-2026-31838 / GHSA-974c-2wxh-g4ww: (CVSS score 6.9, Medium): Los endpoints de depuración permiten acceso a datos del proxy entre namespaces. Reportado por 1seal.
- CVE-2026-31837 / GHSA-v75c-crr9-733c: (CVSS score 8.7, High): Un fallo del resolvedor JWKS puede permitir la omisión de autenticación mediante claves predeterminadas conocidas. Reportado por 1seal.
Otras correcciones de seguridad de Istio
- Corregidos los endpoints de depuración XDS en el puerto de texto plano 15010 para requerir autenticación, evitando el acceso no autenticado a la configuración del proxy. Reportado por 1seal.
- Corregido el SSRF potencial en la obtención de imágenes de
WasmPluginmediante la validación de las URLs de realm del token bearer. Reportado por Sergey Kanibor (Luntry). - Corregidos los endpoints de depuración HTTP en el puerto 15014 para aplicar autorización basada en namespace, evitando el acceso a datos del proxy entre namespaces. Reportado por Sergey Kanibor (Luntry).
¿Estoy afectado?
Todos los usuarios que ejecutan versiones de Istio afectadas están potencialmente en riesgo.
La vulnerabilidad de coincidencia de cabeceras RBAC en Envoy puede ser explotada cuando las políticas de autorización coinciden con cabeceras que pueden contener múltiples valores, lo que permite eludir las políticas.
La vulnerabilidad del resolvedor JWKS podría permitir eludir la autenticación cuando falla una solicitud de JWKS, ya que istiod recurre a claves predeterminadas conocidas públicamente que un atacante puede usar para falsificar JWTs válidos. Los usuarios con recursos
RequestAuthenticationconfigurados conjwksUriestán directamente afectados.La vulnerabilidad del endpoint de depuración XDS permitía el acceso no autenticado a los endpoints de depuración (como
config_dump) en el puerto XDS de texto plano 15010, lo que podría filtrar configuración sensible del proxy a cualquier workload con acceso de red a istiod. Después de actualizar, la autenticación de los endpoints de depuración está habilitada por defecto. Las variables de entornoENABLE_DEBUG_ENDPOINT_AUTHyDEBUG_ENDPOINT_AUTH_ALLOWED_NAMESPACESpueden usarse para ajustar la compatibilidad con sistemas heredados si es necesario.La vulnerabilidad SSRF en la obtención de imágenes de
WasmPluginpodría permitir a un atacante redirigir las credenciales del token bearer a una URL arbitraria.